Mejora tu seguridad en AWS con estas acciones concretas

Hablemos de acciones que suponen una aproximación inicial para defendernos ante un incidente de seguridad. Importante que nuestros entornos en AWS se encuentren seguros y nosotros actualizados sobre las medidas a tomar para prevenir desastres.

Evita imprevistos

Partimos del famoso refrán “más vale prevenir que lamentar”, La prevención no va a impedir que pase un desastre, pero mitigará el riesgo lo máximo posible y nos ayudará a tomar mejores decisiones al respecto. Las acciones que recomendamos para mitigar riesgos son las siguientes:

• Autenticación multifactor: Todo aquel que tenga acceso a nuestra cuenta de AWS debería hacerlo con MFA. https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html
• Evitar el Uso del usuario Root: Debemos evitar el uso del usuario root (email con el que se creo la cuenta) salvo para casos donde sea estrictamente necesario: https://docs.aws.amazon.com/es_es/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root
• Limitar Grupos de Seguridad: al igual que con las personas, debemos limitar siempre los permisos de los grupos de seguridad a los mínimos necesarios.
• Seleccionar y limitar regiones: Debemos seleccionar las regiones que utilizaremos y limitar el acceso a toda otra region deshabilitandolas, esto nos permitirá tener control y visión sobre donde se despliega nuestra infraestructura: https://docs.aws.amazon.com/es_es/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region   
• Implementar AWS WAF: AWS WAF es un Firewall para nuestras aplicaciones. https://maturitymodel.security.aws.dev/es/1.-quickwins/waf/
• Bloquear el acceso publico para Amazon S3: https://docs.aws.amazon.com/es_es/AmazonS3/latest/userguide/access-control-block-public-access.html

El monitoreo es clave

Saber lo que está ocurriendo en todo momento es clave para reaccionar a tiempo. Ello en muchos casos hace mas eficiente la mitigación del incidente incluso antes que sea visible o presente un problema más grave. 

• Debemos garantizar que los contactos de seguridad estén actualizados y no menos importante, que las casillas de emails y las comunicaciones que llegan ahí están siendo leídos y utilizados, esto lo podemos hacer desde la consola de AWS. Ver en la documentación de AWS “Adición, modificación o eliminación de contactos alternativos”: https://docs.aws.amazon.com/es_es/awsaccountbilling/latest/aboutv2/manage-account-payment.html
• Auditar el uso del usuario ROOT y en especial EVITAR SU USO: Es muy importante auditar el uso del usuario Root con CloudTrail y limitar su uso sólo a acciones indispensables.
• Activar y Analizar los accesos y roles con IAM Access Analyzer: IAM Access Analyzer nos permitira tener la información de que identidades externas tienen acceso a nuestros recursos en AWS. https://www.youtube.com/watch?v=lR2Rqk6S94o
• Activar Amazon GuardDuty y analizar sus hallazgos: Amazon GuardDuty analiza nuestra cuenta para detectar amenazas. https://www.youtube.com/watch?v=w8dKW7o3O8U
• Activa AWS CloudTrail: AWS CloudTrail nos permitirá dar seguimiento a la actividad de los usuarios y uso de los servicios de AWS. https://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/cloudtrail-tutorial.html 
• Activa Amazon Macie: Amazon Macie nos ayudará a identificar y proteger nuestros datos sensibles. https://maturitymodel.security.aws.dev/es/1.-quickwins/macie-intentional-data-policies/
• Activar y remediar los hallazgos de AWS Trusted Advisor: AWS Trusted Advisor nos permitirá monitorear y recibir recomendaciones no solo sobre seguridad, sino también respecto a costos desempeño, etc. https://aws.amazon.com/es/premiumsupport/technology/trusted-advisor/
• Monitoree el consumo y active alertas de billing: Estos nos permitirá reaccionar a tiempo en el caso que se detecte un incremento inusual de nuestros gastos mensuales. https://docs.aws.amazon.com/es_es/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html 
• Monitoree la configuración de los recursos utilizando AWS Config rules: AWS Config rules nos permite activar un conjunto de reglas que controlan que los recursos de AWS cumplan con determinadas configuraciones. https://docs.aws.amazon.com/es_es/config/latest/developerguide/evaluate-config.html   

Reaccionar a tiempo para subsanar

Los primeros pasos descritos, nos ayudan a tener una solución mapeada ante un desastre. Las herramientas disponibles en AWS facilitan y mejoran la seguridad de nuestros entornos disponibles. El siguiente paso, es actuar a tiempo. La seguridad en general es un proceso que debe mantenerse vivo y en constante evolución, algunas acciones concretas para comenzar a mejorar este aspecto de nuestra gestión de la seguridad en la nube son:

• Definir un equipo responsable de la seguridad con roles y responsabilidades específicas definidas.
• Involucrar al equipo de seguridad en el desarrollo desde una instancia temprana.
• Asegurar que el equipo de seguridad esté actualizado con las novedades de seguridad en la nube de AWS. https://aws.amazon.com/es/blogs/security/
• Analizar periódicamente los hallazgos y actividades de las herramientas de control que hemos aplicado (IAM Access analyzer, Amazon GuardDuty, AWS Cloudtrail, Amazon Macie, AWS Trusted Advisor, etc)
• Programar alertas y definir cursos de acción en consecuencia.
• Definir y mantener activos canales de comunicación con AWS: es muy importante definir a quien cumplirá con el rol de ser el nexo entre AWS y la organización en caso de un incidente. Una comunicación clara, documentada y organizada facilita la interacción y permite que las acciones se lleven a cabo mucho más rápido. Es de mucha ayuda si quien cumple con este rol habla inglés ya que mucha de la documentación está en este idioma.
• Capasitar al equipo para que tenga el conocimiento para resolver incidentes si sucedieran o contar con soporte en caso de necesitarlo: Es fundamental que el equipo este capacitado para que sepa como actuar, como clientes de AWS contamos con una gran cantidad de recursos de capacitación gratuita, el siguiente curso online es un excelente punto de partida: https://explore.skillbuilder.aws/learn/public/learning_plan/view/91/security-learning-plan?la=cta&cta=topbanner 

Toma estas recomendaciones como una guia a adaptar a tu plan de resolución32r de desastres. Actúa de manera rápida y eficiente con los recursos que AWS pone a disposición para la seguridad de tu entorno.

Adaptado de https://www.linkedin.com/pulse/acciones-concretas-para-incrementar-nuestra-seguridad-silbestein